Avec la fin du support de Windows Server 2008 R2, vous vous êtes peut-être déjà demandé comment effectuer la migration de votre serveur Azure AD Connect vers un autre serveur.
Pour commencer, sachez qu’il n’existe aucun outil dédié pour effectuer ce type de migration de manière automatique. Vous devrez donc provisionner un nouveau serveur et réinstaller AAD Connect sur votre nouveau serveur. C’est la méthode Swing migration dont vous retrouverez également les détails sur le site de Microsoft que je préfère pour couvrir ce besoin.
Prérequis
Dans cette aventure, nous aurons donc 2 serveurs. L’ancien/actuel serveur AAD Connect et le second nouveau serveur.
Avant toute chose, je vous recommande également de mettre à jour votre serveur AAD Connect de manière à effectuer la migration depuis et vers une version qui soit équivalente. Vous pouvez consulter cet article pour les détails concernant la montée de version de Azure AD Connect.
Installation du nouveau serveur AAD Connect
Commencez par installer votre AAD Connect sur votre nouveau serveur. Je ne vais pas repasser par toutes les étapes. Pour la version détaillée, vous pouvez consulter cet ancien article.
Utilisez le mode avancé en choisissant Customize. Vous allez devoir réaliser la même configuration que sur votre ancien AAD Connect :
- Choix des OU ou des objets Active Directoru que vous souhaitez synchroniser ;
- Configuration du sourceAnchor ;
- Etc.
Passez en revue l’ensemble des réglages mais surtout vérifiez que vous choisissez les même réglages que sur votre ancien AAD Connect
Une fois que vous arrivez à la dernière étape, activez le mode Staging afin que la phase d’Export ne s’exécute pas et qu’il n’y ait aucun changement au sein de votre Tenant.
- Start the synchronization process when configuration completes (ne pas cocher) ;
- Enable staging mode… (à cocher).
Importation des règles personnalisées
Il nous reste une chose à faire pour avoir la même configuration des 2 côtés. Vous devez exporter et ré-importer vos règles de synchronisation personnalisées (si vous en avez mis en place).
Pour ce faire, utilisez l’outil Synchronization Rules Editor. Repérez chacune de vos règles personnalisées. Pour chaque règle, utilisez le bouton Export. Vous obtiendrez alors le code PowerShell à exécuter sur le nouveau serveur de manière à re-créer la règle à l’identique. Renouvelez l’opération pour chacune de vos règles.
Soyez vigilant, vous devrez modifier le code à chaque fois concernant la référence au Connector dont la référence de GUID ne correspondra pas entre l’ancien et le nouveau serveur.
Vérifier que la configuration est identique AADConnectConfig
Lorsque vous arrivez à cette étape, vous devez disposer de la configuration suivante :
- L’ancien serveur AAD Connect est toujours en synchronisation active. Pas de mode Staging actif.
- Le nouveau serveur AAD Connect n’a pas exécuté de synchronisation. Le mode Staging est actif.
- Les 2 serveurs sont supposés avoir la même configuration – rigoureusement identique !
Heureusement, nous allons tenter de nous en assurer avec cette étape…
Vous allez pouvoir utiliser l’outil suivant de Microsoft qui permet de vérifier la configuration entre 2 serveurs AAD Connect en PowerShell. Rendez-vous à l’adresse suivante pour récupérer l’outil : https://github.com/Microsoft/AADConnectConfigDocumenter/wiki
Exécutez la commande sur chacun de vos 2 serveurs AAD Connect :
Get-ADSyncServerConfiguration -Path C:\Temp\AADConnectConfigDocumenter\AADCO01
Même chose sur le second serveur :
Get-ADSyncServerConfiguration -Path C:\Temp\AADConnectConfigDocumenter\AADCO02
Vous allez obtenir 2 dossiers contenant chacun 2 sous-dossiers appelés Connector et SynchronizationRules. Cela représente la configuration détaillée de chacun de vos 2 serveurs AAD Connect.
Il ne nous reste plus qu’à utiliser l’outil de comparaison: AAD Connect configuration documenter. Positionnez chacun des 2 dossiers contenant la configuration de vos 2 serveurs et exécutez l’outil. Plus d’informations sur l’utilisation de l’outil en suivant ce lien.
Une fois que c’est fait, vous obtiendrez un fichier HTML qui mettra en évidence les différences de configuration entre les 2 serveurs AAD Connect. Cela vous permettra de mieux détecter une éventuelle différence ou erreur de configuration.
Exécutez autant de fois que nécessaire l’utilitaire et gardez en tête que vous devez avoir la même configuration entre l’ancien serveur AAD Connect et le nouveau.
Effectuer la transition
Une fois que vous êtes prêt. Il ne reste plus qu’à effectuer la transition. Exécutez à nouveau l’assistant AAD Connect sur l’ancien serveur et activez le mode Staging.
Connectez-vous maintenant sur le nouveau serveur et désactivez le mode Staging. Lorsque vous y serez invité, vous pourrez également démarrez le processus de synchronisation.
Ou alors vous pouvez également forcer une synchronisation manuellement avec la commande suivante :
Start-ADSyncSyncCycle -PolicyType Initial
J’ai utilisé le mot clé Initial pour effectuer une synchronisation de type Full.
En fonction du nombre d’objets synchronisés, le processus peut prendre plus ou moins de temps.
Suivez avec attention le processus et vérifiez bien en fin de phase de Synchronisation (Full ou Delta) qu’il n’y aucune suppression qui se prépare pour la phase d’Export.
Voilà c’est terminé, il ne vous reste plus qu’à éventuellement stopper et supprimer l’ancien serveur. 🙂
Plus d’informations sur le site de Microsoft. Et je vous encourage également à consulter cet excellent article.